Qilin.B Ransomware

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุเวอร์ชันปรับปรุงของ Qilin Ransomware ซึ่งมีความซับซ้อนมากขึ้นและมีกลยุทธ์ที่ผ่านการปรับปรุงเพื่อหลีกเลี่ยงการตรวจจับ

ปัจจุบันผู้เชี่ยวชาญได้จัดหมวดหมู่ตัวแปรนี้ไว้เป็น Qilin.B ที่สำคัญ Qilin.B ใช้การเข้ารหัส AES-256-CTR บนระบบที่รองรับ AESNI ในขณะที่ยังคงใช้ Chacha20 บนระบบที่ไม่มีความสามารถนี้ เพื่อปกป้องคีย์การเข้ารหัส จึงได้รวม RSA-4096 เข้ากับแพดดิ้ง OAEP เพื่อให้แน่ใจว่าการถอดรหัสจะทำไม่ได้หากไม่มีคีย์ส่วนตัวของผู้โจมตีหรือการจับค่าซีดที่เฉพาะเจาะจง

ภัยคุกคามจาก Qilin ถูกนำเสนอผ่านโครงการ RaaS

เดิมรู้จักกันในชื่อ Agenda Ransomware Qilin ได้รับความสนใจจากชุมชนด้านความปลอดภัยทางไซเบอร์ในเดือนกรกฎาคมและสิงหาคม 2022 เวอร์ชันแรกได้รับการพัฒนาใน Golang แต่ต่อมาได้เปลี่ยนเป็น Rust

ตามรายงานในเดือนพฤษภาคม 2023 ระบุว่าโมเดล Ransomware-as-a-Service (RaaS) ของ Qilin จัดสรรเงินค่าไถ่ระหว่าง 80% ถึง 85% ให้กับบริษัทในเครือ การโจมตีล่าสุดที่เกิดจากปฏิบัติการของแรนซัมแวร์นี้มุ่งเน้นไปที่การรวบรวมข้อมูลประจำตัวที่จัดเก็บไว้ใน Google Chrome บนระบบที่ถูกบุกรุกเพียงไม่กี่ระบบ ซึ่งถือเป็นการเปลี่ยนแปลงจากวิธีการเรียกค่าไถ่ซ้ำสองแบบปกติ

Ransomware Qilin.B เผยให้เห็นศักยภาพอันชั่วร้ายที่เพิ่มมากขึ้น

การวิเคราะห์ตัวแปร Qilin.B เผยให้เห็นว่าสร้างขึ้นจากเวอร์ชันก่อนหน้าโดยมีตัวเลือกการเข้ารหัสที่ขยายเพิ่มเติมและวิธีการปฏิบัติการที่ได้รับการปรับปรุง

ซึ่งรวมถึงการใช้การเข้ารหัส AES-256-CTR หรือ Chacha20 ในขณะที่ต่อต้านการวิเคราะห์และการตรวจจับอย่างแข็งขันโดยการปิดบริการที่เชื่อมโยงกับเครื่องมือความปลอดภัย ล้าง Windows Event Logs เป็นประจำ และลบตัวเองหลังจากดำเนินการ นอกจากนี้ ยังพร้อมที่จะยุติกระบวนการที่เกี่ยวข้องกับเครื่องมือสำรองข้อมูลและการจำลองเสมือน เช่น Veeam, SQL และ SAP และลบ Shadow Volume Copies ทำให้การกู้คืนข้อมูลมีความท้าทายมากขึ้น

การเข้ารหัสขั้นสูง เทคนิคการหลีกเลี่ยงที่ซับซ้อน และการหยุดบริการสำรองข้อมูลแบบกำหนดเป้าหมายของ Qilin.B ทำให้เป็นแรนซัมแวร์รูปแบบหนึ่งที่น่าเกรงขามอย่างยิ่ง

อันตรายจากแรนซัมแวร์

Ransomware ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ก่อกวนมากที่สุด โดยส่งผลกระทบต่อทั้งบุคคลและธุรกิจ ภัยคุกคามประเภทนี้ทำงานโดยการเข้ารหัสไฟล์ในระบบเป้าหมาย ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลของตนเองได้ เว้นแต่จะจ่ายค่าไถ่ การเรียกร้องค่าไถ่อาจมีตั้งแต่ไม่กี่ร้อยเหรียญไปจนถึงหลายล้านเหรียญ ขึ้นอยู่กับว่าข้อมูลที่ถูกบุกรุกนั้นมีค่าเพียงใดสำหรับเหยื่อ อย่างไรก็ตาม แม้ว่าจะจ่ายค่าไถ่แล้วก็ตาม ก็ไม่มีใครสามารถรับประกันได้ว่าผู้โจมตีจะทำตามด้วยการให้คีย์ถอดรหัส ซึ่งทำให้เหยื่อสูญเสียสองเท่า ทั้งในด้านการเงินและการเข้าถึงข้อมูล

นอกเหนือจากการสูญเสียทางการเงินแล้ว การโจมตีด้วยแรนซัมแวร์ยังอาจขัดขวางการดำเนินงานได้อย่างรุนแรง บริษัทต่างๆ อาจประสบปัญหาการหยุดทำงานเป็นเวลานาน สูญเสียความเชื่อมั่นของลูกค้า และอาจเผชิญกับผลทางกฎหมายหากข้อมูลที่ละเอียดอ่อนถูกเปิดเผย ความเครียดและความไม่แน่นอนจากการจัดการกับแรนซัมแวร์ยังอาจส่งผลทางอารมณ์ที่สำคัญต่อทั้งบุคคลและองค์กรอีกด้วย

กลยุทธ์การป้องกัน Ransomware ที่มีประสิทธิภาพ

• การสำรองข้อมูลตามปกติ : การป้องกันที่แข็งแกร่งที่สุดอย่างหนึ่งคือการสำรองข้อมูลไฟล์สำคัญเป็นประจำ แผนการสำรองข้อมูลที่เป็นระบบ ซึ่งรวมถึงสแน็ปช็อตที่จัดเก็บไว้ภายนอกสถานที่หรือบนคลาวด์ ช่วยให้สามารถกู้คืนไฟล์ได้หากเกิดการโจมตี จึงไม่จำเป็นต้องจ่ายค่าไถ่
• ซอฟต์แวร์รักษาความปลอดภัยที่เชื่อถือได้ : การใช้เครื่องมือรักษาความปลอดภัยที่ได้รับการยอมรับซึ่งให้การป้องกันแบบเรียลไทม์สามารถช่วยตรวจจับและบล็อกแรนซัมแวร์ได้ก่อนที่จะบุกรุกระบบของคุณ การอัปเดตเครื่องมือเหล่านี้เป็นประจำจะช่วยให้เครื่องมือสามารถจดจำภัยคุกคามที่เกิดขึ้นได้
• การฝึกอบรมสร้างความตระหนักรู้ให้กับพนักงาน : การโจมตีด้วยแรนซัมแวร์มักใช้ประโยชน์จากข้อผิดพลาดของมนุษย์ผ่านการฟิชชิ่งหรือวิศวกรรมสังคม การให้การฝึกอบรมพนักงานเป็นประจำเกี่ยวกับการระบุอีเมลและลิงก์ที่น่าสงสัยสามารถลดความเสี่ยงของการติดแรนซัมแวร์โดยไม่ได้ตั้งใจได้อย่างมาก
• การอัปเดตซอฟต์แวร์และระบบ : อาชญากรไซเบอร์มักใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ล้าสมัยเพื่อติดตั้งแรนซัมแวร์ การอัปเดตระบบและแอปพลิเคชันทั้งหมดให้ทันสมัยจะช่วยป้องกันไม่ให้ช่องโหว่เหล่านี้ถูกใช้ประโยชน์
• การแบ่งส่วนเครือข่าย : สำหรับองค์กร การแบ่งส่วนเครือข่ายสามารถลดการแพร่กระจายของแรนซัมแวร์ได้โดยการแยกสินทรัพย์ที่สำคัญออกไป การทำเช่นนี้จะช่วยให้บริษัทสามารถควบคุมการโจมตีได้ ปกป้องข้อมูลที่ละเอียดอ่อนและลดความเสียหายที่อาจเกิดขึ้นให้เหลือน้อยที่สุด
• การควบคุมการเข้าถึง : การบังคับใช้สิทธิ์การเข้าถึงที่เข้มงวดจำกัดผู้ที่สามารถดูหรือแก้ไขไฟล์สำคัญได้ ซึ่งช่วยลดโอกาสของการดำเนินการที่ไม่ได้รับอนุญาตซึ่งอาจส่งผลให้เกิดการโจมตีด้วยแรนซัมแวร์

การรวมมาตรการรักษาความปลอดภัยเชิงรุกเหล่านี้ช่วยให้ผู้ใช้สามารถเสริมสร้างการป้องกันตนเองต่อแรนซัมแวร์และลดโอกาสที่จะตกเป็นเหยื่อของการโจมตีที่สร้างความเสียหายเหล่านี้

Qilin.B Ransomware วิดีโอ

เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ